Una minaccia che sta diventando sempre più palpabile.
Negli ultimi mesi si è registrato un incremento preoccupante di truffe digitali legate all’identità digitale Spid, con pesanti ripercussioni soprattutto per i dipendenti della Pubblica Amministrazione.
In molti casi, fa sapere today le vittime si sono viste sottrarre interamente lo stipendio, accreditato su conti correnti intestati ai truffatori.
Il raggiro sfrutta una peculiarità del sistema Spid, che consente la creazione di più identità digitali valide per la stessa persona.
È così che i criminali, in possesso di dati anagrafici e di copie di documenti d’identità (ottenuti spesso tramite phishing o acquistati nel dark web), riescono ad attivare un secondo Spid a nome della vittima.
Con queste credenziali “parallele”, gli hacker possono accedere a portali cruciali come NoiPA, Inps o l’Agenzia delle Entrate.
Una volta dentro, modificano l’Iban registrato, dirottando stipendi, pensioni o rimborsi fiscali verso i propri conti correnti.
I bersagli principali di questa truffa sono i lavoratori pubblici, come insegnanti, operatori sanitari e dipendenti della pubbliche amministrazioni, che utilizzano abitualmente il portale NoiPA per la gestione degli stipendi. In molti casi, le vittime scoprono l’accaduto solo quando il pagamento mensile non arriva.
A complicare le cose è il fatto che il secondo Spid – seppur creato fraudolentemente – è tecnicamente valido.
Il sistema, quindi, non rileva anomalie e riconosce l’accesso come legittimo, rendendo difficile contestare immediatamente l’azione illecita. Il recupero delle somme richiede tempo, segnalazioni, denunce e spesso lunghe attese.
In attesa di contromosse tecniche, la difesa passa attraverso la prevenzione.
In primis è sempre bene verificare frequentemente che l’Iban registrato su portali come NoiPA, Inps e Agenzia delle Entrate sia corretto. Ove possibile è inoltre sempre autorizzare l’attivazione a due fattori, preferibilmente tramite app dedicate.
È’ poi bene evitare di cliccare su link ricevuti via Sms, mail e social specie se non si conosce il mittente.
Va poi considerato che le amministrazioni pubbliche non chiedono autorizzazioni o dati in questa modalità.
Infine è possibile contattare il proprio provider SPid e chiedere se ci sono altre identità aperte a nostro nome. Infine è sempre meglio non caricare i nostri documenti in dispositivi digitali e in server non sicuri. Come abbiamo visto è proprio l’utilizzo di questi materiali che danno il via alla truffa.
